收藏
下载资源

NAT及NAT用户日志配置

上传人:枫** 文档编号:545689874 上传时间:2023-04-12 格式:DOC 页数:24 大小:337.50KB
返回 下载 相关 举报
NAT及NAT用户日志配置_第1页
第1页 / 共24页
NAT及NAT用户日志配置_第2页
第2页 / 共24页
NAT及NAT用户日志配置_第3页
第3页 / 共24页
NAT及NAT用户日志配置_第4页
第4页 / 共24页
NAT及NAT用户日志配置_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《NAT及NAT用户日志配置》由会员分享,可在线阅读,更多相关《NAT及NAT用户日志配置(24页珍藏版)》请在金锄头文库上搜索。

1、4 NAT及NAT用户日志配置 4-14.1 NAT及NAT用户日志概述 4-24.1.1 NAT 简介4-24.1.2 多对多地址转换及地址池 4-44.1.3 应用级网关 ALG 4-54.1.4 NAT 在VRP上的实现 4-54.1.5 NAT 用户日志简介 4-64.2 配置 NAT4-84.2.1 建立配置任务 4-84.2.2 配置地址池 4-84.2.3 配置 ACL和地址池关联 4-9配置部服务器 4-94.2.5 使能 NAT ALG功能4-104.2.6 检查配置结果 4-104.3 配置NAT用户日志 4-104.3.1 建立配置任务 4-104.3.2 启动NAT用户

2、日志功能 4-114.3.3 设置日志输岀至控制台 4-114.3.4 设置使用的日志服务器 4-124.3.5 设置日志报文的源IP地址4-124.3.6 设置日志报文的版本号 4-124.3.7 设置在创建流时进行日志的记录 4-124.3.8 设置对长时间活跃的流定时记录 4-134.3.9 检查配置结果 4-134.4 维护4-134.4.1 清除4-134.4.2 调试4-144.5 NAT及NAT用户日志典型配置举例 4-144.5.1 NAT 典型配置举例 4-154.5.2 NAT用户日志典型配置举例 4-174.5.3 NAT部服务器多实例配置举例 4-18插图目录图4-1

3、地址转换示意图 4-3图4-2通过路由器访问In ter net 4-3图4-3用户日志信息输岀示意图 4-7图4-4地址转换典型配置组网图 4-15图4-5 NAT用户日志典型配置组网图 4-17图4-6 NAT部服务器的多实例 4-184 NAT及NAT用户日志配置关于本章本章描述容如下表所示。标题容4.1 NAT及NAT用户日志概 述了解NAT基本原理和NAT用户日志4.2配置NAT配置NAT举例:NAT典型配置举例4.3配置NAT用户日志配置NAT用户日志举例:NAT用户日志典型配置举例4.4维护清除运行信息,调试 NAT4.5 NAT及NAT用户日志典 型配置举例介绍NAT的各种组网

4、举例。4.1 NAT及 NAT用户日志概述本节介绍配置NAT及NAT用户日志所需要理解的知识,具体包括:NAT简介多对多地址转换及地址池 应用级网关 ALGNAT在 VRP上的实现NAT用户日志简介4.1.1 NAT 简介网络地址转换 NAT又称地址代理,它实现了私有网络访问公有网络的功能。在 In ternet的发展过程中,NAT的提出是为了解决IP地址短缺所可能引起的问题。私有网络地址和公有网络地址私有网络地址是指部网络或主机的 IP 地址,公有网络地址是指在 Internet 上全球唯 一的 IP 地址。 Internet 地址分配组织规定将下列的 IP 地址保留用作私有网络地址。10.

5、0.0.0 172.16.0.0 192.168.0.0 也就是说这三个围的地址不会在 Internet 上被分配,只能在一个单位或公司部使用。各企业在预见未来部主机和网络的数量后,选择合适的部网络地址。不同企业的部网络地址可以相同。如果一个公司选择上述三个围之外的其它网段作为部网络地址,那 么与其他网络互通时有可能会造成混乱。网络地址转换如 0 所示,当部网络的主机访问 Internet 或与公有网络的主机通信时,需要进行网络 地址转换。地址转换示意图PCWWW clientPCWWW ServerGE1/0/0Router203.1963 23/24Pos2/0/0-rInternetIn

6、ternal networkExternal network部网络的地址是10.1.1.0/24网段,而对外的公有网络IP地址是部的主机以www方式访问外部网络的服务器。主机发出一个数据报文,源端口为 6084,目的端口为80。在通过路由 器后,该报文的源地址和端口可能改为203.196.3.23:32814 ,目的地址与端口不做改变。路由器中维护着一地址端口对应表。当外部网络的www服务器返回结果时,路由器会将结果数据报文中的目的IP地址及端口转化为 10.1.1.48:6084 。这样,部主机10.1.1.48/24就可以访问外部的服务器了。NAT的作用如0所示,PC1与PC2可以使用部网

7、络地址,通过网络地址转换后访问In ternet上的资源。通过路由器访问In ternetPC1PC2NAT的机制地址转换的机制是将部网络主机的 IP 地址和端口替换为路由器的外部网络地址和端 口,以及从路由器的外部网络地址和端口转换为部网络主机的 IP 地址和端口。也就是 私有地址 +端口与公有地址 +端口 之间的转换。NAT的特征对用户透明的地址分配(指对外部地址的分配) 。可以达到一种“透明路由”的效果。这里的路由是指转发 IP 报文的能力,而不是 一种交换路由信息的技术。NAT的优缺点地址转换的优点如下。部网络的主机可以通过该功能访问外部网络资源。为部主机提供了“隐私” ( Priva

8、cy )保护。地址转换的缺点如下:由于需要对数据报文进行 IP 地址的转换,涉及 IP 地址的数据报的报头不能被加 密。在应用层协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的 FTP连接,否则FTP的port命令不能被正确转换。网络调试变得更加困难。比如,部网络的某一台主机在攻击其它网络,网络安全 人员很难指出究竟哪一台主机是恶意的,因为该主机的 IP 地址被屏蔽了。NAT的性能在链路的带宽低于 10Mbit/s 时,地址转换对网络性能基本不构成影响,此时,网络传 输的瓶颈在传输线路上;当链路的带宽高于 10Mbit/s 时,地址转换将对路由器性能产 生一些影响

9、。4.1.2 多对多地址转换及地址池从地址转换的示意 0 可见,当主机从部网络访问外部网络时,地址转换将会选择一个 合法的外部地址,以替代部网络数据报文的源地址,即在0 中选择路由器地址池提供的外部 IP 地址。这样所有部网络的主机访问外部网络时,只能共同拥有一个外部IP地址。当部网络的主机非常多时,地址转换可能就会显得有些吃力。解决这个问题需 要一个私有网络拥有多个外部地址,此 时,为充分而有效地利用这些外部地址,可利 用地址池来实现多对多地址转换。顾名思义,地址池就是一些合法 IP 地址(公有网络 IP 地址)的集合。用户可根据自 己拥有的合法 IP 地址的多少、部网络主机的多少、以及实际

10、应用情况,配置合适的IP地址池。当主机从部网络访问外部网络时,将会从地址池中挑选一个IP 地址做为转换后的报文源地址。4.1.3 应用级网关 ALGNAT只能对IP报文的头部地址和 TCP/UDP头部的端口信息进行转换。对于一些特殊协 议,例如ICMP FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些容不能被NAT有效的转换,这就可能导致问题。例如,一个使用部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分,NAT无法对它进行转换。外部网络主机接收了这个私有地址并使用它,这时FTP服务器将表现为不可达。

11、解决这些特殊协议的 NAT转换问题的方法就是在NAT实现中使用应用级网关 ALG(Application Level Gateway )功能。ALG是特定的应用协议的转换代理,它和NAT交互以建立状态,使用 NAT的状态信息来改变封装在 IP报文数据部分中的特定数据,这 样应用协议可以跨越不同围运行。例如,考虑一个“目的站点不可达”的ICMP报文,该报文数据部分包含了造成错误的数据报A的首部(注意,NAT发送A之前进行了地址转换,所以源地址不是部主机的真 实地址)。如果开启了 ICMP ALG功能,在NAT转发ICMP报文之前,它将与 NAT交互, 打开ICMP报文并转换其数据部分的报文A首部

12、的地址,使这些地址表现为部主机的确切地址形式,由NAT将这个ICMP报文转发出去。4.1.4 NAT在 VRP上的实现VRP支持 NAT ALGVRP的NAT平台模块不仅实现了一般的地址转换功能,还提供了完善的地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。可支持的特殊协议包括:D NS、 FTP、 T FTP、 H.323 、HWCCICMP、ILS(Internet Locator Service)、MSN、NetBIOS(Network BasicInput/Output System )、 PPTP( Point-

13、to-Point Tunneling Protocol)、QQ。VRP地址转换支持MPLS VPNVRP的NAT不仅可以使部网络的用户访问外部网络,还允许分属于不同MPLS( MultiProtocol Label Switching ) VPN( Virtual Private Network )的用户通过同一个出 口访问外部网络。当MPLS VPN用户访问In ternet 时,VRP的NAT将部网络主机的IP地址和端口替换为 路由器的外部网络地址和端口,同时还记录了用户的MPLS VPNB息。报文还原时,NAT将外部网络地址和端口还原为部网络主机的IP地址和端口,同时获得了MPLS VP

14、N用户信息。利用访问控制列表控制地址转换在实际应用中,我们可能希望某些部的主机具有访问 Internet 的权利,而某些主机不 允许访问。在地址转换中,我们可以利用访问控制列表限制地址转换。也就是说,只有满足访问 控制列表条件的数据报文才可以进行地址转换。这样就能有效地控制地址转换的使用 围,使特定主机能够有权利访问 Internet 。访问控制列表是由命令 acl 生成的,它依据 IP 数据包报头及其承载的上层协议数据的 格式定义了一定的规则,表示允许或是禁止具有某些特征的数据包。 地址转换按照这 样的规则判定哪些包是被允许转换或者是被禁止转换,这样可以禁止一些部的主机访 问外部网络,保证具

15、有一定特征的数据包才可以被允许进行地址转换,提高网络的安 全性。“转换关联”就是将一个地址池和一个访问控制列表关联起来,这种关联指定了“具有 某些特征的 IP 报文”才可以使用“这样的地址池中的地址” 。当部网络有数据包要发 往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换关联找到 与之对应的地址池,这样就把源地址转换成这个地址池中的某一个地址,完成了地址 转换。在转换时,根据“转换关联”可以找到与数据包对应的地址池,就可以将部网络主机的 IP 地址和端口替换为路由器的外部网络地址和端口。在还原时,根据数据包的目的 地址,就可以把路由器的外部网络地址和端口转换为部网络主机的 IP 地址和端口。Easy IPEasy IP 就是当进行地址转换时,直接使用接口的公有IP 地址作为转换后的源地址。同样,它也利用访问控制列表

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 活动策划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号